Basic MDM und Legacy Exchange Auth

Die zwei sind keine Freunde, mit der Ankündigung bzw. der Durchführung Exchange Legacy Authentication auszuschalten, sind manche Mobiltelefone außen vor.

Grundsätzlich ist nur ein kleinerer Teil betroffen, und zwar jende mit z.B. einer E1 Lizenz (ohne Mobile Device Management /MDM). Wenn eine höhere Lizenz mit Mobile Device Management vorhanden ist, gelten die Intune Regeln.

Bei den betroffenen Geräten, klappt die Anmeldung im iOS Profil mehr. Damit wird dann auch relativ schnell das Adressbuch geleert, spätestestens dann, merkt das der Benutzer…

Auswirkung auf iOS

Auf dem iOS Gerät hat es die Auswirkung, dass ständig nach dem Kennwort gefragt wird. Möglicherweise wurde zuvor – falls MFA aktiviert war – ein App Kennwort verwendet. Dies funktioniert dann mit der Abschaltung nicht mehr. In den Azure AD Sign In Logs ist kein Fehler ersichtlich (da ja das Legacy Protokoll deaktiviert wurde und der Endpunkt gar nicht verfügbar ist). Das Profil am Gerät lässt sich nicht löschen:

Ein weiteres Profil lässt sich nicht hinzufügen, da es ja bereist vorhanden ist. Daher ist die Lösung das automatisch erzeugte Profil per Basic MDM zu entfernen und manuell hinzuzufügen (das verwendet dann Modern Authentication und ggf. MFA).

Exchange Legacy Authentication

Aktuell wir ja die Deaktivierung der Legacy Authentication auf Exchange ausgerollt. Siehe auch Admin Center:

Das wurde ja schon vielfach kommuniziert, daher gehe ich nicht im Detail darauf ein. Allerdings haben wir hier einen Seiteneffekt, der nicht direkt ersichtlich ist.

Basic MDM

Über das „alte“ Security und Compliance Center kommt man auf das Basic MDM (falls vorhanden). Das ist eine abgespeckte Variante von Intune mit einer eigenen Oberfläche https://portal.office.com/adminportal/home?#/MifoDevices:

Dahinter ist auch eine Policy konfiguriert, diese taucht aber nicht im Intune auf. Aber über den o.g. Link „Device policies“ kommt man dorthin:

In der Policy dann die folgende Einstellung auf „Off“ schalten:

Require managing email profile (required for selective wipe on iOS): Off

Anschließend das Geräte über Unt. Portal „Status aktualisieren“ oder entsprechend warten. Das durch MDM erzeugte Mail Profil wird jetzt entfernt und kann manuell hinzugefügt werden.

Referenz

0 0 votes
Article Rating
Teilen

Autor: Dennis Hobmaier

Dennis Hobmaier ist Strategic Consultant bei AvePoint Deutschland GmbH. Er hat über 15 Jahre Erfahrung in IT-Enterprise Umgebung aller Größenordnungen und bedient Kunden aus den unterschiedlichsten Branchen. Als MCSE SharePoint hat er tiefgreifende Kenntnisse in den Bereichen Microsoft Active Directory, Windows, Azure, SharePoint und Office 365. Gerne teilt er seine Projekterfahrung mit Ihnen.

Subscribe
Notify of
guest

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .

0 Comments
Inline Feedbacks
View all comments